HOMELv012 ブラウザがファイルの内容からMIMEタイプを推測する機能を悪用した攻撃を防ぐヘッダーはどれか。 2026年3月18日 nosniffを指定することで、サーバーが宣言したContent-Typeを強制させ、誤認を防げる。 postMessageの受信側で、Originヘッダーを「startsWith」で部分一致検証するリスクはどれか。 window.location.replaceに外部から入力されたURLを渡すことで発生する攻撃はどれか。
